Os bancos que possuem apólices de seguro digital não estão necessariamente corrigindo seus problemas de segurança. Em vez disso, usam os certificados emitidos pelas companhias seguradoras como a principal garantia de seus planos de gestão de risco de responsabilidade financeira. Essa é a constatação do Relatório e Análise de Serviços Financeiros 2015, elaborado pela Raytheon/Websense, especializada em proteção contra ataques virtuais e roubo de dados.
O estudo observa que a disseminação dos seguros em segurança digital pode estar fornecendo uma falsa sensação de proteção às instituições financeiras em todo o mundo, embora seja um pressuposto falho. Isso porque, as apólices de seguro digital têm cobertura limitada e só garantem parcialmente o impacto financeiro de um ciberataque de pior cenário. O relatório aponta que 80% dos bancos no mundo informaram que contrataram algum seguro de segurança digital.
Segundo artigo do The Wall Street Journal, comentários do CEO da seguradora americana AIG sugerem que o montante máximo segurado por um banco é de US$ 400 milhões. A maioria das apólices de seguro digital tem um valor máximo na faixa de US$ 100 milhões a US$ 200 milhões.
Já um relatório recente da Standard & Poor's observa que, se os ataques bem-sucedidos e financeiramente danosos aumentarem, o custo dos seguros poderia subir ou a disponibilidade poderia ser restrita. No pior caso, a frequência e o impacto dos ataques poderiam significar que algumas empresas ou setores seriam considerados não passíveis de seguro, o que os tornaria financeiramente muito mais vulneráveis.
Além disso, o requisito para empresas de serviços financeiros de manter sua conexão em tempo real com a economia global dificulta algumas precauções de segurança lógicas. O mesmo artigo do jornal americano traz um estudo recente que sugere que, embora 90% dos bancos criptografem os dados transmitidos, apenas 38% criptografam os dados armazenados. Dos bancos pesquisados, 30% não exigiam autenticação com vários fatores de fornecedores terceirizados.
Um banco da lista Fortune 500, por exemplo, sabe que vários de seus servidores não receberam correções (patches) para um bug grave chamado Heartbleed — algo como hemorragia cardíaca —, brecha de segurança que permite que hackers roubem chaves secretas que protegem nomes de usuário, senhas e outros dados digitais. O motivo para a não eliminação dessa vulnerabilidade, de acordo com o diretor de segurança de TI do banco (que pediu anonimato por motivos legais), é que aplicar patches nos servidores interromperia a continuidade com diversos bancos europeus que ainda não atualizaram seus sistemas. Isso poderia interromper as operações com os parceiros no exterior.
Ou seja, as evidências apontam que, cada vez mais, a necessidade da conexão em tempo real com a economia global e os seguros digitais podem prejudicar a eficácia da segurança de TI no setor de serviços financeiros.
Durante anos, o setor de finanças tem sido alvo de ataques de grupos de cibercriminosos altamente especializados. A frequência e a sofisticação dos ciberataques direcionados são um grande risco para este setor. Inteligência de ameaças, prevenção proativa, detecção mais rápida dos incidentes e resposta imediata são essenciais para o setor se proteger contra os riscos apresentados pelas ciberameaças.
Com informações financeiras valiosas e dados pessoais confidenciais de milhões de consumidores em mãos, as empresas de finanças devem fortalecer continuamente suas práticas de segurança para esforços eficazes de defesa e prevenção, sem depender do setor de seguros para proteção em caso de violação catastrófica.
